Microsoft будут заводить CVEшки для уязвимостей своих облачных сервисов

Microsoft будут заводить CVEшки для уязвимостей своих облачных сервисов

Microsoft будут заводить CVEшки для уязвимостей своих облачных сервисов. Казалось бы, ну была уязвимость в какой-то облачной CRM-ке, они её зафиксили сразу для всех, никаких действий со стороны клиентов не требуется. Толку-то на это CVE заводить? 🤔

Но в Microsoft считают, что это требуется для большей прозрачности, а новые правила CNA (CVE Num­ber­ing Author­i­ties) требуют заводить уязвимости, которые могут нанести существенный вред, независимо от того требуется ли клиентам совершать какие-то действия для устранения уязвимостей или нет. 🤷‍♂️ Microsoft обещают помечать такие уязвимости отдельно, как например CVE-2024–35260 "The vul­ner­a­bil­i­ty doc­u­ment­ed by this CVE requires no cus­tomer action to resolve". В CVE­org тоже будет специальный tag.

Нужно или не нужно заводить уязвимости облачных сервисов как CVE — вопрос спорный. Но то, что из-за этой практики количество идентификаторов в CVEorg/NVD станет прирастать гораздо быстрее — факт. 🤷‍♂️

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *